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Securisation d 1 application telechargee notarament dans 

une carte a puce 

La presente invention concerne la securisation 
de 1 1 environnement d' execution d'un interpreteur , tel 
qu'une machine virtuelle, dans un dispositif de 
traitement de donnees du type objet electronique 
portable telle qu'une carte a puce. 

Plus particuli§rement 1 ' invention concerne la 
protection contre des attaques pour executer des 
donnees comme si elles £taient des instructions 
(opcodes) . Une attaque classique consiste par exemple 
a executer un saut indesire vers une zone de me moire 
qui a enregistre des donnees. Ceci resulte par 
exemple de la modification de pseudo-codes dans une 
application telechargee, telle qu'une applet, par un 
attaquant afin d f introduire une applet "agressive" 
dans un champ de donnees et ainsi introduire un saut 
vers cette partie de donnees. La machine virtuelle, 
qui n'est pas capable de distinguer les instructions 
et des donnees, execute alors les donnees comme si 
elles etaient des instructions. 



25 L 1 invention vise a proteger le f onctionnement de 

la machine virtuelle contre de t elles attaques et 
plus precis<§ment a distinguer les instructions et les 
donnees particulierement lors de l'execution d'une 
partie d'une application telechargee. 

30 

Un dispositif de traitement de donnees selon 
1 ' invention comprend un moyen de memorisation pour 
memoriser au moins une application telechargee, 
initialement compilee en un langage intermediaire, 
35 composee de plusieurs composants . applicatifs 
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contenant chacun un identif icateur et des mots 
d' instructions, et un moyen d' execution virtuel - II 
est caracteris£ en ce qu'il comprend : 

- un moyen gen£rateur de nombres aleatoires pour 
5 associer un nombre aleatoire a un composant 

applicatif predetermine de 1 ' application telechargee, 

- un premier moyen transf ormateur inclus dans le 
moyen d' execution virtuel pour appliquer chacun des 
mots d' instruction dans le composant applicatif 

lo predetermine et le nombre aleatoire associe a une 
fonction de transformation afin de memoriser des mots 
d f instruction transf ormes lors du telechargement du 
composant applicatif predetermine, et 

- un deuxieme moyen transf ormateur inclus dans 
15 le moyen d' execution virtuel pour appliquer chacun 

des mots d' instruction transformes d'une partie du 
composant applicatif predetermine et le nombre 
aleatoire associe a la fonction reciproque de la 
fonction de transformation afin de recuperer les mots 

20 d' instruction composant ladite partie du composant 
applicatif predetermine pour executer ladite partie 
de composant ainsi recuperee. 

Par exemple, le composant applicatif 
predetermine comporte une suite de methodes, en tant 

25 que partie du composant, dont les mots d 1 instruction, 
tels que des octets de code operation et des octets 
de parametre, subissent systematiquement la 
transformation en mots d 1 instruction transformes 
avant d'etre enregistres de maniere permanente dans 

30 le dispositif de traitement de donnees, ce qui permet 
de distinguer les instructions des donnees. Par 
exemple, un saut introduit irregulierement dans une 
application telechargee ne permettra pas d'aboutir a 
une donn^e recherchee puisque 1» execution du saut se 
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fera par rapport cL une donnee reputee transformee qui 
ne correspond pas au saut recherche. 

Afin d'accentuer encore la distinction entre les 
instructions de code et les donnees, le moyen 
5 generateur genere un nombre aleatoire produit par le 
moyen d f execution virtuelle, et le premier moyen 
transf ormateur applique, par exemple lors de la 
creation d'un objet par le moyen d ! execution virtuel, 
chaque donnee et le nombre aleatoire associe a la 

10 fonction de transformation afin d'ecrire une donnee 
transformee dans le moyen de memorisation lorsque la 
donnee est produite par le moyen d f execution virtuel . 
En variante, 1' invention prevoit de distinguer les 
differentes donnees en fonction des types primitifs 

15 des donnees. Dans cette variante, le moyen generateur 
genere des nombres aleatoires respect ivement associes 
a des types primitifs de donnees, et le premier moyen 
transf ormateur applique chaque donnee produite par le 
moyen d' execution virtuel et le nombre aleatoire 

20 associ£ au type primitif de la donnee a la fonction 
de transformation afin d'ecrire notre donnee 
transformee dans le moyen de memorisation lorsque la 
donnee est produite par le moyen d 1 execution virtuel. 

25 D'autres caracteristiques et avantages de la 

presente invention apparaltront plus clairement a la 
lecture de la description suivante de plusieurs 
realisations preferees de 1 ' invention en reference 
aux dessins annexes correspondants dans lesquels : 

30 - la figure 1 est un bloc-diagramme schematique 

d'un dispositif de traitement de donnees du type 
carte a puce selon 1 1 invention ; 

- la figure 2 est un algorithme de chargement 
d'une application dans le dispositif de traitement de 

35 donnees selon 1' invention ; 
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la figure 3 est un diagramme montrant une 
suite d* instructions notamment lors de la creation 
d'un objet ; 

- la figure 4 est un algorithme de creation 
5 d 1 objet selon les instructions de la figure 3 ; 

- la figure 5 est un diagramme d f instructions 
transformees dans une methode pour exlcuter une 
addition de deux variables locales selon 
1 'application chargee ; et 

io - la figure 6 est un algorithme d 1 execution de 

la methode avec les instructions transformees montree 
a la figure 5. 

Dans la suite de la description, on se referera 

15 a une carte a puce 1, dite egalement carte a 
microcontroleur ou S circuit integre, en tant 
qu 1 ob j et electronique portable loge d ' une maniere 
amovible dans un lecteur 21 d'une plate-forme ' 
d'accueil telle qu'un terminal d'accueil 2. La carte 

20 a puce 1 est de n'importe quel type connu de carte a 
puce a contact ou sans contact, et peut etre une 
carte de paiement, une carte telephonique , une carte 
additionnelle, un module d'identite d'abonne 
telephonique amovible SIM (Subscriber Identity 

25 Module) , une carte de jeu, etc... 

Le terminal d'accueil 2 peut etre un ordinateur 
personnel PC ou un terminal bancaire ou un terminal 
point de vente, ou bien encore un terminal 
radiotelephonique cellulaire mobile, ou un objet 

30 electronique portable tel qu'un assistant numerique 
personnel PDA (Personal Digital Assistant) ou un 
porte-monnaie electronique . 

Le microcontroleur dans la carte a puce 1, en 
tant que dispositif de traitement de donn^es, 

35 comprend un microprocesseur 3, une memoire non 
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reinscriptible 4 du type ROM, une memoire non 
volatile 5 de type EE PROM et une memoire a acces 
aleatoire 6 de type RAM. Tous les composants 3 a 6 
dans la carte a puce 1 sont relies par un bus 7 
5 interne a la carte et une interface de communication 
reliee au lecteur 21 dans le terminal d'accueil 2 a 
travers une liaison a contact ou sans contact LI . 

Des espaces 40 et 41 de la memoire 4 contiennent 
respectivement des instructions en code natif d'un 

10 systeme d 1 exploitation OS (Operating System) et en 
pseudo-code (bytecode) d'une machine virtuelle VM, en 
tant que moyen d 1 execution virtuelle, sur laquelle 
s'appuie le systeme d 1 exploitation. Les pseudo-codes 
resultent de la compilation d'un programme en langage 

15 source de haut niveau du type oriente objet, tel que 
par exemple le langage Java Card. Par exemple un 
serveur (non represent^) comprenant un compilateur 
convertit le programme en langage source Java Card en 
un programme compile en langage intermediaire, c'est- 

20 a-dire en pseudo-codes qui sont des mots 
d f instruction formes par des octets, appel£s 
"bytecodes" , qui sont prets a etre executes par la 
machine virtuelle VM, en tant qu ' interpreteur dans la 
carte a puce 1 • Le programme compile constitue une 

25 application AP, dite applet, telechargee dans la 
carte a puce au sens de 1 ! invention. La memoire 4 
comprend 6galement au moins des applications 
d' authentif ication et de communication internes a la 
carte . 

30 Des espaces 50 et 51 de la memoire non volatile 

5 contiennent respectivement des donnees liees au 
systeme d ' exploitation OS et accessibles par codes 
natifs et des donnees liees a la machine virtuelle VM 
et accessibles par pseudo-codes, ainsi que les 

35 pseudo-codes et les donnees d 1 applications 
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telechargees dans la carte. La memoire 5 contient 
egalement des donnees personnelles liees au 
possesseur de la carte a puce. 

La memoire 6 de type RAM contient 
5 essentiellement des donnees echangees avec le monde 
exterieur a la carte a puce 1, notamment avec le 
terminal d'accueil TE. 

La memoire 6 comprend notamment un espace 
predetermine de taille fixe pour recevoir une ou des 

io applications telechargees AP, telles que des applets, 
ou des portions d 1 application, depuis un serveur a 
travers le terminal d'accueil 2 et la liaison LI pour 
etre executees par la machine virtuelle VM. L 1 espace 
predetermine est divist en trois espaces de memoire 

15 60, 61 et 62. 

L 1 espace 60 sert principalement de memoire 
tampon pour recevoir des donnees de machine, telles 
qu'une application telechargee AP et la transformer 
selon l 1 invention en une application transformee qui 

20 est ecrite dans 1 ' espace de memoire 51 de la memoire 
5 reservee aux donnees de la machine virtuelle VM. 

Les deux autres espaces de memoire 61 et 62 sont 
reserves a des premieres parties de methodes 
invoqu^es dans des applications comprenant des 

25 variables locales VL et a des deuxiemes parties ayant 
des tail les variables et comprenant des operandes OP 
des methodes invoquees . L 1 invocation d'une methode 
sur le dessus de la pile ainsi constitute dans la 
memoire 6 sous le controle du processeur 3 provoque 

30 l'empilement d'un cadre ("frame") respectif sur le 
dessus de la pile qui contient les autres cadres de 
methode. Les methodes s 1 invoquent les unes les 
autres, la methode precedente invoquant la methode 
suivante et la methode suivante ne pouvant que 

35 retourner a la methode precedente, en d^pilant et 
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<§cartant la methode du dessus de la pile. Ainsi 
seulement la methode au-dessus de la pile est active. 

La largeur de la pile est par exemple egale a un 
octet , soit egale a. la longueur d'un pseudo-code. 
5 Selon la technique anterieure, une ou plusieurs 

variables locales VL dans 1 1 espace de memoire 61 sont 
d<§clarees lors de 1 1 implementation d'une methode et 
avant l 1 execution de celle-ci . Les variables locales 
servent a 1» execution de la methode, leur nombre 

10 n'etant pas modifie mais leurs valeurs pouvant etre 
modifiees au cours de 1' execution de la methode. 
Comme on le verra dans la suite, a titre d 1 exemple, 
une variable locale peut etre une reference a un 
objet dont la methode est appelee afin d'acc^der a 

15 cet objet dans la machine virtuelle VM, ou bien des 
parametres de la methode ou d'autres variables 
locales . 

Egalement selon la technique anterieure, des 
operandes dans 1 ' espace de memoire 62 sont des 

20 valeurs utilisees par la machine virtuelle VM pour 
executer des prochaines operations et en particulier 
utilisees comme argument de l'appel de la methode 
invoquee . Des operandes d'une methode peuvent devenir 
des variables locales de la methode suivante lors de 

25 1 ' implementation de la methode suivante, et 
inversement le resultat d'une methode peut devenir un 
operande de la methode immediatement precedent e lors 
du retour a celle-ci. 

30 Une application (applet) est sous la forme de 

programmes compiles et structures en plusieurs 
composants applicatifs logiciels CP comprenant chacun 
une suite d 1 octets (bytecodes) . 

Chaque octet supporte un code operation (opcode) 

35 constituant une instruction IN proprement dite, ou 
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bien l'un des paramitres PA d'une instruction appeles 
operandes. Une instruction proprement dite est ainsi 
composee d'un octet d ' instruction IN (opcode) qui est 
eventuellement suivi d'un ou de plusieurs octets de 
5 parametre PA. 

L' application a telecharger a laquelle on se 
referera dans la suite a titre d'exemple est sous la 
forme d'un fichier compile du type cap. file et 
cotnporte notamment un composant de methode CP1 qui 

10 contient toutes les methodes de 1 ' application a 
telecharger AP. Chaque methode a une longueur fixe et 
comprend plusieurs groupes cons£cutifs ayant chacun 
un octet d' instruction IN et un nombre predetermine 
d 1 octets de parametre PA. Un autre composant CP2 de 

15 1 'application AP peut etre un composant de champ 
statique qui contient tous les champs statiques des 
classes de 1 1 application . Un champ statique est un 
champ qui appartient a une classe independamment de 
toute instance eventuelle et n'est pas une instance 

20 d'un objet de la classe et est ainsi partag^e par 
toutes les instances de la classe. Un champ statique 
est comme un attribut associe a tous les objets d'une 
classe. 

25 Comme montre egalement a la figure 1, la carte a 

puce 1 comprend en outre, selon 1 1 invention, un 
generateur de nombres aleatoires 3 0 et deux 
transformateurs logiques 42 et 43 . 

Selon la realisation illustree, le generateur 30 

30 est implemented materiellement dans ou en liaison 
avec le microprocesseur 3 de la carte a puce. II 
echange des requetes et des reponses a travers le bus 
7 avec la machine virtuelle VM dans 1'espace de 
memoire 4 0 afin de generer des nombres aleatoires NA. 

35 Par exemple, le generateur 3 0 associe un nombre 
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aleatoire a un composant applicatif predetermine dans 
1 • application AP lors du chargement de celle-ci, ou 
bien a des donnees notamment pour la creation 
d'objet, comme on le verra dans la suite. 
5 Selon une autre realisation, le generateur de 

nombres aleatoires est inclus sous forme de logiciel 
dans la machine virtuelle VM, c'est-a-dire dans 
l'espace de memoire 40. 

Chaque fois que le generateur de nombres 

10 aleatoires 3 0 genere un nombre aleatoire NA, le 
nombre aleatoire genere NA est ecrit dans un registre 
RG inclus dans 1 1 espace de donnees de machine SO dans 
la memoire RAM 6, sous la commande de la machine 
virtuelle VM. La machine virtuelle fait correspondre 

15 la valeur du pointeur dans la memoire 6 au niveau du 
registre RG a un identif icateur ID inclus dans un en- 
tete du composant CP auquel est associe le nombre 
aleatoire NA. La correspondance entre 

1 ! identif icateur ID et le registre RG est ecrite dans 

20 l'espace de memoire 51 alloue a la machine virtuelle 
VM dans la memoire EE PROM 5. 

Les transf ormateurs 42 et 43 sont implementes 
prealablement sous forme logiciels dans l'espace de 
memoire 41 de la memoire ROM 4 et sont ainsi inclus 

25 dans la machine virtuelle VM. 

Le premier transf ormateur 42 transforme un 
composant applicatif predetermine CP1 en un composant 
transforme CPT1 = FT(CP1, NA1) resultant de 
1 ' application du composant predetermine CP1 et d'un 

30 nombre aleatoire NA1 qui lui est associe a une 
fonction de transformation FT. Une telle 
transformation est effectuee par exemple octet par 
octet sur tous les octets 0C1 du composant 
predetermine CP1 lors du chargement de celui-ci dans 

35 l'espace de memoire de donnees de machine 60 dans la 
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memoire RAM 6 ou sur chaque operande lors de 
1 ' ecriture d'un operande, tel qu'une reference 



creation d'un objet. 

Inversement , lorsqu'une methode doit §tre 
ex^cutee ou lorsqu'un operande d'un objet doit etre 
lu dans l'espace 62, une transformation FT 
reciproque de la transformation FT et incluse dans le 
t rans format eur 43 transforme des octets transformed 
OCT1 dans une methode de composant transforme, ou 
1» operande transforme, tel que la reference d» objet 
transformed REFT, en les octets initiaux OC = 
FT" 1 (OCT, NA1) du composant CP ou en la reference REF 
= FT _1 (REFT, NAD) par application des octets 
transformed OCT ou de la reference transformed REFT 
et du nombre aleatoire associe NA1, NAD a la fonction 
reciproque FT 1 . 

Selon une realisation preferee, la fonction de 
transformation FT est la fonction OU Exclusif (XOR) 
et par consequent la fonction reciproque 
correspondante FT* 1 est egalement la fonction OU 
Exclusif . 

Selon d'autres variantes, bien d'autres 
fonctions de transformation logiques reversibles FT 
peuvent etre choisies pour la mise en ceuvre de 
1' invention. Par exemple, la fonction FT est la 
multiplication d'un octet et d'un nombre aleatoire et 
la fonction FT^ 1 est la division ; ou la fonction FT 
est 1 'addition d'un octet et d'un nombre aleatoire et 
la fonction FT _1 est la soustraction ; ou bien la 
fonction FT est un decalage d'un nombre de bits vers 
un c6te, a droit e ou a gauche, dans un octet OC, le 
nombre determinant le decalage etant egal a un nombre 
aleatoire NA inferieur au nombre de bits de 1' octet, 
et la fonction reciproque FT* 1 est un decalage a 



d' objet REF, dans l'espace 



d' operande 62 lors de la 
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gauche ou a droite du notnbre de bits NA dans 1' octet 
transform^ OCT. 

Plus general ement, les trans format eurs 42 et 43 
peuvent traiter des mots d • instruction de longueur 
5 constante a plusieurs octets a transformer, au lieu 
simplement d' octets, par exemple correspondant a des 
instructions completes . 

En r6f£rence maintenant a la figure 2, le 

10 t£lechargement d'une application AP dans la carte a 
puce 1 comprend essentiellement des etapes CI a C8 . 
Classiquement , 1 1 application AP comportant plusieurs 
composants logiciels CP est £crite progressivement 
dans un registre RG1 de l'espace de memoire de 

is donnees de machine 60 dans la memoire RAM 6. Les 
stapes suivantes C2 a C7 sont effectuees 
progressivement au fur et a mesure du telechargement 
de 1 1 application AP jusqu'au transfert d'un composant 
transforme de celle-ci de la memoire RAM 6 vers la 

20 memoire EEPROM 5 a 1 1 etape C7 . 

II est suppose que la transformation selon 
l 1 invention n'est appliquee qu 1 a au moins un 
composant predetermine CP1 dans 1 1 application a 
telecharger AP designe par un identif icateur ID1 dans 

25 1 ' en-tete du composant CP1 . La machine virtuelle VM 
detecte les identif icateurs ID au debut de chaque 
composant CP de 1 1 application AP a 1 1 etape C2 afin de 
declencher, comme indique a 1 1 etape C3 , le generateur 
de nombres aleatoires 3 0 lorsque la machine virtuelle 

30 a- d(§tect<§ 1 1 identif icateur ID1 du composant CP1 . A 
1' etape C4, le generateur 30 genere un nombre 
aleatoire NA1 qui est ecrit dans un registre RG2 dans 
l'espace 60 de la memoire ROM 6 et la machine 
virtuelle VM associe 1 ' identif icateur ID1 a une 
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valeur de pointeur liee au registre RG2 en ecrivant 
cette correspondance dans l'espace 51. 

A l'etape C5, pour chaque octet OC1 dans le 
composant CP1 en cours de chargement, la machine 
5 virtuelle VM ecrit 1' octet OC1 dans un registre 
tampon RG3 de l'espace de raemoire 60, le 
transf ormateur 42 applique 1" octet OC1 lu dans le 
registre RG3 et le nombre aleatoire NA1 lu dans le 
registre RG2 a la fonction de transformation FT, 

10 telle que la fonction OU Exclusif, et ecrit le 
resultat OCTl=FT (OCl,NAl) dans un registre RG4 de 
l'espace 60, et finalement la machine virtuelle VM 
remplace 1' octet OC1 dans le registre RG1 par 1 'octet 
transf orme correspondant OCT1 lu dans le registre 

15 RG4 . Lorsque tous les octets OC1 ont ete transf ormes 
en octets OCT1, le registre RG1 contient le composant 
transforme CPT1=FT (CP1 , NA1) , comme indique £ l'etape 
C6 . Le composant transforme CPT1 est ensuite 
transfer^ du registre RG1 dans l'espace 51 de la 

20 memoire EE PROM 2 . 

Les etapes C2 a C7 sont repetees pour tout autre 
composant CP2 a transformer de 1 1 application 
telechargee AP . Le generateur 30 genere un nombre 
aleatoire NA2 qui l'associe au composant CP2 et 

25 1' ecrit dans un autre registre dans l'espace de 
memoire 6 0 afin de transformer chaque octet OC2 du 
composant CP2 en un octet transforme 

0CT2=FT (OC2 ,NA2) . Par. exemple le composant CP2 est un 
composant de champ statique qui contient des champs 

30 statiques des classes de 1 ' application AP. 

En variante, au lieu d'appliquer la fonction de 
transformation FT a un octet, la fonction de 
transformation est appliquee a un nombre predetermine 
d' octets. Par exemple dans le composant CP1 si toutes 

35 les instructions comprennent chacune un octet 
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d 1 instruction IN suivi de deux octets de parametres 
PA, chaque mot Ml= (IN, PA, PA) dans le composant CP1 
est transform^ en un mot transforme MT1-FT (Ml , NA1 ) 
resultant de 1 1 application du mot Ml et du notnbre 
5 aleatoire NA1 associe au composant CP1 3. la fonction 
de transformation FT. 

Ainsi, la machine virtuelle VM charge le 
composant CP1, CP2 dans la carte a puce 1 en le 
masquant al£atoirement . 

10 En variante, lorsque 1 1 application ou un 

composant de celle-ci a une taille relativement 
grande et ne peut etre entierement charge dans la 
memoire RAM, 1 1 application est decoupee en portions 
de taille constante, comme des paquets. Les etapes de 

15 chargement C4 8. C7 sont relatives a chaque portion de 
maniere a transformer successivement les portions de 
1 1 application. Lorsqu'une portion constitue une 
transition entre deux composants concatenes, chaque 
partie de la portion a la fin ou au debut de 

20 composant est reconnue et traitee separement par les 
etapes C4 a C7 _ Chaque portion est chargee et 
transformee et finalement transferee dans 1 1 espace 51 
de la memoire EE PROM 5, avant de t£lecharger la 
portion suivante dans la memoire RAM 6. 

25 

Selon l 1 invention, la creation d'un objet par 
exemple au cours de 1' execution d 1 instructions dans 
une application interne, comme montre a la figure 3, 
engendre la transformation de donn^es liees a la 
30 creation de 1 ! objet, notamment la transformation au 
moins d'une reference REF a 1" objet cree en une 
reference transformee REFT sans necessiter la 
transformation reciproque de la reference transformee 
REFT. 
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Dans la figure 3, la premiere instruction "new 11 
dans un octet de code operation (opcode) suivi de 
deux octets de parametre "indexbyte" est d'abord 
executee pour creer un objet OB a une etape 02 selon 
5 l»algorithme montre a la figure 4. Prealablement a 
une etape Ol, si aucun nombre aleatoire n'a ete 
associe a une donnee, la machine virtuelle VM 
declenche la generation d'un nombre aleatoire NAD 
dans le g^nerateur 30 afin de l'ecrire dans un 

10 registre RGD inclus dans l'espace de donnees de 
machine 51 de la memoire EE PROM 5. Plus gen£ralement 
selon cette realisation, chaque fois qu'une donnee 
est ecrite dans l f espace de memoire RAM 61 ou 62 par 
la machine virtuelle VM, le nombre aleatoire NAD sert 

15 a transformer cette donnee. 

En revenant & l 1 etape 02, les parametres 
associes a 1 1 instruction "new" servent a reserver la 
place necessaire dans la memoire 5 a 1' objet OB cree 
par la machine virtuelle VM et a trouver toutes les 

20 informations de 1 ! objet a creer. Les parametres 
representent un index qui permettent de retrouver des 
informations dans une table contenue dans le champ 
"constant_pool" contenu dans la machine virtuelle. Le 
constructeur d' objet dans la machine virtuelle 

25 retourne une reference REF qui fait office d'adresse 
du descripteur de 1* objet cree. 

Selon 1' invention, la reference REF est 
transformed en une reference REFT qui est ecrite sur 
le dessus de la pile de l'espace d'operande 62 dans 

30 la memoire RAM 6. Ainsi a l f £tape suivante 03 , la 
machine virtuelle VM applique la reference REF de 
I 1 objet cree et le nombre aleatoire NAD associl aux 
donnees a la fonction de transformation FT dans le 
trans format eur 42 afin de produire la reference 

35 transformee REFT = FT (REF, NAD) . 



WO 2004/006088 



15 



PCT7FR2003/002107 



A titre d'exemple, les etapes suivantes 04, 05 
et 06 concernent des manipulations de la reference 
transformee REFT, et non de la reference REF, dans la 
memo ire RAM 6 par la machine virtuelle MV. A l'etape 
s 04, 1 ' instruction suivante "dup" duplique la 
reference transformee REFT dans 1' espace de memo ire 
62 en ajoutant une copie de la reference REFT sur la 
pile d'operandes. Cette duplication est relative a la 
creation d'un autre objet identique a l 1 objet OB qui 

io vient d'etre cree dans la mime classe. A l'etape 
suivante 05, 1 ' instruction " invokespecial " ayant deux 
parametres comme montre a la figure 3 appelle le 
constructeur de 1' objet cree OB afin d'associer la 
reference transformee REFT a 1' objet cree en interne 

15 dans la machine virtuelle VM. Puis 1 1 instruction 
"astore" a l'etape 06 transfere la reference 
transformee REFT restante de 1 1 espace de memoire 
d'operande 62 dans 1 ' espace de memoire de variable 
locale 61 dans la memoire RAM 6 afin de manipuler 

20 1' objet, par exemple pour appeler une methode 
applicable £ cet objet. 

Ainsi selon 1* invention, toute reference REF a 
un objet est memorisee sous sa forme transformee REFT 
dependant du nombre aleatoire NAD dans la memoire RAM 

25 6. Plus generalement, cette transformation est 
applicable a tous les champs de 1 'objet et a toutes 
les donnees. 

En variante, le generateur de nombres aleatoires 
3 0 gene re des nombres aleatoires respect ivement 

30 associes a des types primitifs de donniea . Par 
exemple, lors de la creation d'un objet, la machine 
virtuelle VM applique I 1 une ou plusieurs des 
transformations suivantes a des donnees INT de type 
entier, CHAR de type caractere, BOOL de type booleen 

35 (vrai/faux : "true/false"), REF du type reference et 
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D pour tous les autres types de donnees (float, 
double, etc..) : 

INTT = FT (INT, NAI) , 
CHART = FT (CHAR, NAC) , 
5 BOOLT = FT (BOOL, NAB), 

REFT = FT ( REF , NAR) , 
DT = FT ( D , NAD ) . 
Dans ces relations, les donnees transformees INTT, 
CHART, BOOLT, REFT et DT resultent respectivement de 

10 transformations FT dans le transf ormateur 42 par 
1 1 application de la donnee initiale correspondante et 
d'un notnbre aleatoire respectif NAI, NAC, NAB, NAR et 
NAD. Ainsi chaque fois qu'une application est 
instanciee, chaque donnee primitive INT, CHAR, BOOL, 

15 REF, D et le nombre aleatoire associe NAI, NAC, NAB, 
NAR, NAD sont appliques par le transf ormateur 42 a la 
fonction de transformation FT afin d'ecrire une 
donnee transformed INTT, CHART, BOOLT, REFT, DT dans 
la me moire RAM 6. 

20 Ceci contribue a remedier a des attaques qui 

tentent de faire executer des operations indesirables 
sur des donnees de types primitifs differents 
l'attaquant ne peut pas predire comment une donnee va 
etre enregistree ce qui l'empeche de realiser son 

25 attaque. Par exemple, 1' addition de deux references 
non transformees dans 1 ' espace 62 selon la technique 
anterieure permet d'acceder a une donnee notamment 
sensible. Selon 1' invention, 1 ' addition de deux 
references transformees donne un resultat qui est 

30 compldtement different de 1' addition des deux 
references initiales non transformees et qui a priori 
est totalement aleatoire. Comme les instructions sont 
egalement typees dans la machine virtuelle, une 
tentative d f addition par exemple du type entier de 

35 deux references transformers REFT accentuera encore 
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la difference entre le resultat obtenu et la somme 
des deux references initiales par l'operateur 
addition de type reference. 

5 On se refdrera ci-apres pour 1 1 execution d'une 

methode de 1 1 application tel^chargee AP par exemple & 
des donnees INT de type entier associees au nombre 
aleatoire NAI ecrit initialement dans le registre RGI 
de 1 1 espace 51, tout en sachant que les donnees 

10 manipulees peuvent etre n ! importe quelles donnees de 
type primitif CHAR, BOOL, REF et D et le nombre 
aleatoire NAI peut etre le nombre aleatoire respectif 
NAC, NAB, NAR et NAD. 

En reference maintenant aux figures 5 et 6, 

15 1' execution de 1 ■ application telechargee AP dans la 
carte a puce CI est decrite par exemple pour une 
partie du composant applicatif CP1 relative a une 
methode comprenant trois instructions dans le 
composant CP1 dont les octets ont ete transformes en 

20 fonction du nombre aleatoire NAI a 1 ' etape C5 (figure 
2). Selon la figure 5, la methode de 1 ' application 
stockee dans 1 ' espace de memoire 51 comprend six 
octets transformes OCT. Les deux premiers octets 
transformes contiennent le code operation transform^ 

25 et un parametre d'une instruction transformee 
correspondant a 1 f instruction de chargement "iload" 
de type entier relative a une premiere variable 
locale VL1 enregistr£e sous la forme transformee VLT1 
= FT (VTil,NAI) dans 1 ' espace de memoire de variable 

30 locale 61. De meme les troisieme et quatrieme octets 
transformes OCT dans la methode montree & la figure 5 
correspondent £ une instruction de chargement 
"iload"2 de type entier relative a une deuxieme 
variable VL2 enregistree sous la forme transformee 

35 VLT2=FT (VL2 , NAI ) dans 1 1 espace de memoire 61. Le 
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cinquieme octet de la methode est un octet transforme 
OCT d'une instruction "iadd" d^signant une addition 
des deux variables VL1 et VL2 de type entier. 

Comme montre a la figure 6, 1' execution de la 
5 methode d 1 addition a cinq octets transformed OCT 
montr£e a la figure 5, comprend essentiellement des 
etapes El a E10. 

Tout d'abord pour ex^cuter les deux premieres 
instructions de chargement, la machine virtuelle VM 

10 lit le norabre aleatoire NA1 dans le registre RG2 de 
1 ' espace de memoire 60, a 1 ' etape El, le nombre 
aleatoire NA1 ayant ete produit initialement par le 
generateur 30 lors du chargement de 1 1 application AP. 
A 1 ' etape E2 , chacun des octets transformed de 

15 1 ' instruction "iload" 1 est applique avec le nombre 
aleatoire NA1 a la fonction reciproque FT dans le 
transf ormateur 43 qui produit 1 ' instruction initiale 
"iload 1". La machine virtuelle VM execute alors 
1 1 instruction "iload 1" en chargeant la variable 

20 transf ormee VLT1 = FT(VL1,NAI) au-dessus de la pile 
d'operandes dans 1 1 espace 62 de la memoire RAM 6. 

Puis 1 1 instruction "iload 2" est traitee de la 
me me maniere aux etapes E4 et E5 que 1 1 instruction 
precldente "iload 1" aux etapes E2 et E3 d'abord en 

25 recup£rant 1 1 instruction initiale "iload 2" dans le 
transf ormateur 43, puis en executant 1 1 instruction 
"iload 2" afin de transferer la variable transf ormee 
VLT2 = FT (VL2 , NAD) au-dessus de la variable 
transf ormee precedente VLT1 dans la pile de l 1 espace 

30 62 . 

Ii 1 etape E6 est analogue aux etapes precedentes 
E2 et E4 afin de recuperer la troisieme instruction 
iadd en appliquant le cinquieme octet transforme dans 
la methode montrSe a la figure 5 et le nombre 
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aleatoire NA1 a la fonction reciproque FT dans le 
t rans forma teur 43 . 

Puisque l 1 operation d' addition iadd ne peut etre 
executee que sur les variables locales initiales, les 
5 deux variables locales a additionner VL1 et VL2 sont 
recuperees d'abord en lisant le nombre aleatoire NAI 
dans le registre RGI de 1 1 espace de memoire 51, ou en 
variante, le nombre aleatoire NAD associe a tous les 
types primitifs de donnees dans le registre RGD de 

10 1 1 espace de memoire 51. La machine virtuelle lit 
ensuite egalement les variables locales transformees 
VLT2 et VLT1 au-dessus de la pile dans 1 1 espace 62 et 
a 1 ' etape E8 les applique chacune a la fonction 
reciproque FT 1 dans le transf ormateur 43 afin de 

15 recuperer les variables locales initiales VL1 et VL2 
qui sont ecrites dans deux registres de 1' unite 
logique arithmetique dans la machine virtuelle VM. 
L 1 unite arithmetique execute 1 1 instruction "iadd" 
pour additionner les variables locales VL1 et VL2 en 

20 une somme SOM a 1 ' etape E9. Le transf ormateur 42 
transf orme la somme SOM en l'appliquant avec le 
nombre aleatoire NAI, ou en variante NAD, a la 
fonction de transformation FT dans le transf ormateur 
42 qui produit la somme transf ormee SOMT a 1 1 etape 

25 E10. La somme transf ormee SOMT est finalement 
positionnee au-dessus de la pile dans 1 1 espace de 
memoire G2 de la memoire RAM 6 . 



WO 2004/006088 



20 



PCT/FR2003/002107 



RE VEND I CAT I ON S 

1 - Dispositif de traitement de donnees (1) 
comprenant un moyen de memorisation (6) pour 
5 memoriser au moins une application telechargee (AP) , 
initialement compilee en un langage interm<§diaire, 
composee de plusieurs composants applicatifs (CP1) 
contenant chacun un identif icateur (ID1) et des mots 
d' instruction (OC1) , et un moyen d' execution virtuel 
10 en langage intermediaire (VM, 4, 5), caracterise en 
ce qu'il comprend : 

- un moyen generateur de nombres aleatoires (3 0) 
pour associer un nombre aleatoire (NA1) a un 
composant applicatif predetermine (CP1) de 

15 1 1 application telechargee (AP) , 

- un premier moyen t rans format eur (42) inclus 
dans le moyen d' execution virtuel pour appliquer 
chacun des mots d ' instruction (OC1) dans le composant 
applicatif predetermine (CP1) et le nombre aleatoire 

20 associe (NA1) a une fonction de transformation (FT) 
afin de memoriser des mots d 1 instruction transformed 
(OCT1) lors du tel£chargement du composant applicatif 
predetermine, et 

- un deuxieme moyen transf ormateur (43) inclus 
25 dans le moyen d 1 execution virtuel pour appliquer 

chacun des mots d ' instruction transformed (OCT1) 
d'une partie du composant applicatif predetermine 
(CP1) et le nombre aleatoire associe (NA1) a la 
fonction reciproque (FT ) de la fonction de 
30 transformation (FT) afin de recuperer les mots 
d' instruction (OC1) composant ladite partie du 
composant applicatif predetermine pour executer 
ladite partie de composant ainsi recuperee. 
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2 - Dispositif conforme a la revendication 1, 
dans lequel les mots d 1 instruction (OC1) sont des 
octets de code operation (IN) et des octets de 
parametre (PA) . 

5 

3 - Dispositif conforme a la revendication 1, 
dans lequel chaque mot d ' instruction a une longueur 
constante et correspond a une instruction complete. 

10 4 - Dispositif conforme a I 1 une quelconque des 

revendications 1 a 3, comprenant un deuxieme moyen de 
memorisation (5) pour memoriser 1 1 application 
telechargee (AP) mais comportant le composant 
applicatif predetermine avec des mots d 1 instruction 

15 transformes (OCT1) . 

5 - Dispositif conforme a l'une quelconque des 
revendications 1 a 4, dans lequel le moyen generateur 
(3 0) genere un nombre aleatoire (NAD) produit par le 

20 moyen d 1 execution virtuel (VM) , et le premier moyen 
transf ormateur (42) applique chaque donnee (REF) et 
le nombre aleatoire associe (NAD) a la fonction de 
transformation (FT) afin d'ecrire une donnee 
transformee (REFT) dans le moyen de memorisation (6) 

25 lorsque la donnee est produite par le moyen 
d ' execution virtuel (VM) . 

6 - Dispositif conforme a l'une quelconque des 
revendications 1 a 5, dans lequel le moyen generateur 

30 . (3 0) genere des nombres aleatoires respectivement 
associes a. des types primitifs de donnees, et le 
premier moyen transf ormateur (42) applique chaque 
donnee produite par le moyen d 1 execution virtuel (VM) 
et le nombre aleatoire associ£ au type primitif de la 

35 donnee a la fonction de transformation (FT) afin 
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d'ecrire 1 ' autre donnee transform^e dans le moyen de 
memorisation (6) lorsque la donnee est produite par 
le moyen d» execution virtuel (VM) . 

5 7 - Dispositif conforme a 1 1 une quelconque des 

revendications 1 a 6, dans lequel le moyen generateur 
(30) associe des nombres aleatoires (NA1) 
respectivement cl des identif icateurs (ID1) de types 
de composant differents (CP1) afin que les mots 
10 d 1 instruction dans chaque composant soient appliques 
a la fonction de transformation (FT) avec le nombre 
aleatoire associe au composant . 

8 - Dispositif conforme a 1 1 une quelconque des 
15 revendications 1 a 7, dans lequel la fonction de 

transformation (FT) et la fonction reciproque (FT~ ) 
sont des fonctions OU Exclusif . 

9 - Dispositif conforme £ l'une quelconque des 
20 revendications 1 a 8, dans lequel le moyen generateur 

de nombres aleatoires (30) est inclus dans ou en 
liaison avec un processeur (3) dans le dispositif. 

10 - Dispositif conforme a l'une quelconque des 
25 revendications 1 a 8, dans lequel le moyen generateur 

de nombres aleatoires est inclus dans le moyen 
d' execution virtuel (VM) . 

11 - Dispositif conforme a l'une quelconque des 
30 revendications 1 a 10, dans lequel le moyen de 

memorisation est une memoire a acces aleatoire (6) 
contenant des donnee s echangees avec le monde 
exterieur au dispositif (1) . 
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12 - Dispositif conforme a l'une quelconque des 
revendications 1 a 11, du type objet electronique 
portable tel que carte a puce (1) . 



5 
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